Sicherheitskonzepte in Microsoft Dataverse

  • Artikel

Eines der Hauptmerkmale von Dataverse ist ein umfangreiches SicherheitsModell, das Sie an viele Unternehmensanwendungsszenarien anpassen können. Dieses SicherheitsModell wird nur verwendet, wenn eine Dataverse-Datenbank in der Umgebung vorhanden ist. Als Administrator werden Sie wahrscheinlich nicht das gesamte SicherheitsModell selbst erstellen, sondern sind häufig in den Prozess der Benutzerverwaltung und der Sicherstellung der richtigen Konfiguration sowie der Fehlerbehebung bei Sicherheitszugriffsproblemen involviert.

Trinkgeld

VideosymbolSchauen Sie sich das folgende Video an: Microsoft Dataverse – In Demos gezeigte Sicherheitskonzepte.

Rollenbasierte Sicherheit

Zur Bündelung von Berechtigungen in einer Sammlung basiert die Sicherheit in Dataverse auf Rollen. Diese Sicherheitsrollen können direkt den Benutzern zugeordnet sein, oder sie können Dataverse-Teams und -Unternehmenseinheiten zugeordnet werden. Dem Team können dann Benutzer zugeordnet werden, damit alle Teammitglieder von der Rolle profitieren. Ein Schlüsselkonzept der Dataverse-Sicherheit ist zu verstehen, dass alle Rechteerteilungen kumulativ sind und der umfangreichste Zugriff Vorrang hat. Wenn Sie auf breiter Organisationsebene Lesezugriff auf alle Kontaktdatensätze gewährt haben, können Sie nicht zurückgehen und einen einzelnen Datensatz ausblenden.

Unternehmenseinheiten

Trinkgeld

Videosymbol Videosymbol Sehen Sie sich das folgende Video an: Geschäftseinheiten modernisieren.

Geschäftsbereiche arbeiten mit Sicherheitsrollen, um die effektive Sicherheit eines Benutzers zu bestimmen. Unternehmenseinheiten sind Bausteine eines SicherheitsModells, das bei der Verwaltung von Benutzern und der Daten, auf die diese zugreifen, hilft. Unternehmenseinheiten definieren eine Sicherheitsbegrenzung. Jede Dataverse-Datenbank enthält eine einzelne Stammunternehmenseinheit.

Sie können untergeordnete Unternehmenseinheiten erstellen, um Benutzer und Daten weiter zu segmentieren. Jeder Benutzer, der einer Umgebung zugewiesen ist, wird zu einem Konzernmandanten gehören. Während Unternehmenseinheiten verwendet werden können, um 1:1 eine echte Organisationshierarchie zu Modellieren, tendieren sie häufig dazu, nur Sicherheitsbegrenzungen zu definieren, um die SicherheitsModellanforderungen zu erfüllen.

Betrachten wir das folgende Beispiel, um das besser zu verstehen. Wir verfügen über drei Unternehmenseinheiten. Woodgrove ist die Stammunternehmenseinheit und befindet sich immer an erster Stelle, das ist unveränderlich. Wir haben zwei weitere untergeordnete Geschäftsbereiche A und B erstellt. Benutzer in diesen Geschäftsbereichen haben sehr unterschiedliche Zugriffsanforderungen. Falls wir einen Benutzer dieser Umgebung zuordnen, können wir festlegen, dass er sich in einer dieser drei Unternehmenseinheiten befindet. Wohin der Benutzer zugewiesen wird, bestimmt, welche Unternehmenseinheit die Datensätze besitzt, deren Besitzer der Benutzer ist. Diese Zuordnung erlaubt es uns, eine Sicherheitsrolle zu erstellen, die es dem Benutzer erlaubt, alle Datensätze in dieser Unternehmenseinheit zu sehen.

Hierarchische Struktur des Datenzugriffs

Benutzer können eine Organisationsstruktur verwenden, in der Daten und Benutzer in einer baumartigen Hierarchie unterteilt sind.

Wenn wir einen Benutzer mit dieser Umgebung verknüpfen, können wir festlegen, dass der Benutzer einer dieser drei Unternehmenseinheiten angehört, und dem Benutzer eine Sicherheitsrolle aus der Unternehmenseinheit zuweisen. Die Unternehmenseinheit, der der Benutzer zugeordnet ist, bestimmt, welche Unternehmenseinheit Eigentümer der Datensätze ist, wenn der Benutzer einen Datensatz erstellt. Diese Zuordnung erlaubt es uns, eine Sicherheitsrolle zu erstellen, die es dem Benutzer erlaubt, Datensätze in dieser Unternehmenseinheit zu sehen.

Benutzer A ist mit Abteilung A verknüpft und erhält die Sicherheitsrolle Y von Abteilung A. Dies lässt Benutzer A den Zugriff auf die Datensätze Kontakt #1 und Kontakt #2 zu. Während Benutzer B in Abteilung B keinen Zugriff auf die Datensätze von Abteilung A hat, kann er jedoch auf den Datensatz Kontakt Nr. 3 zugreifen.

Beispiel für die Struktur des Zugriffs auf Matrixdaten

Matrixdaten-Zugriffsstruktur (Modernisierte Unternehmenseinheiten)

Benutzer können eine Organisationsstruktur verwenden, in der die Daten in einer baumartigen Hierarchie unterteilt sind, und Benutzer können unabhängig von der Unternehmenseinheit, der sie zugeordnet sind, mit den Daten jeder Unternehmenseinheit arbeiten und darauf zugreifen.

Falls wir einen Benutzer dieser Umgebung zuordnen, können wir festlegen, dass er sich in einer dieser drei Unternehmenseinheiten befindet. Für jede Unternehmenseinheit, auf deren Daten ein Benutzer zugreifen muss, wird ihm eine Sicherheitsrolle aus dieser Unternehmenseinheit zugewiesen. Wenn der Benutzer einen Datensatz erstellt, kann er die Unternehmenseinheit festlegen, der der Datensatz gehört.

Benutzer A kann mit jeder beliebigen Unternehmenseinheit verbunden sein, auch mit der Stammgeschäftseinheit. Dem Benutzer A wird eine Sicherheitsrolle Y aus Abteilung A zugewiesen, die ihm Zugriff auf die Datensätze Kontakt Nr. 1 und Kontakt Nr. 2 gibt. Dem Benutzer A wird eine Sicherheitsrolle Y aus Abteilung B zugewiesen, die dem Benutzer Zugriff auf den Datensatz Kontakt Nr. 3 gewährt.

Beispiel für eine hierarchische Datenzugriffsstruktur

Aktivieren Sie diese Struktur für den Zugriff auf die Matrixdaten

Notiz

Bevor Sie diese Funktion aktivieren, müssen Sie alle Ihre Anpassungen veröffentlichen, um alle Ihre neuen unveröffentlichten Tabellen für die Funktion zu aktivieren. Wenn Sie feststellen, dass Sie unveröffentlichte Tabellen haben, die mit dieser Funktion nicht funktionieren, nachdem Sie sie aktiviert haben, können Sie die Einstellung Recompute OwnershipAcrossBusinessUnits mit der OrgDBOrgSettings-Tool für Microsoft Dynamics CRM festlegen. Wenn Sie RecomputeOwnershipAcrossBusinessUnits auf „true“ setzen, kann das Feld Zuständige Unternehmenseinheit festgelegt und aktualisiert werden.

  1. Melden Sie sich beim Power Platform Admin Center als Administrator (Dynamics 365-Administrator, globaler Administrator oder Microsoft Power Platform-Administrator) an.
  2. Wählen Sie die Registerkarte Umgebungen, und wählen Sie dann die Umgebung, für die Sie diese Funktion aktivieren möchten.
  3. Wählen Sie Einstellungen>Produkt>Funktionen aus.
  4. Schalten Sie Ein den Schalter Datensatzbesitz über Unternehmenseinheiten ein.

Sobald diese Funktion eingeschaltet ist, können Sie die Unternehmenseinheit auswählen, wenn Sie einem Benutzer eine Sicherheitsrolle zuweisen. Dies lässt zu, dass Sie einem Benutzer die Sicherheitsrolle aus verschiedenen Unternehmenseinheiten zuweisen. Der Benutzer benötigt außerdem ein Sicherheitsrolle mit Berechtigungen für Benutzereinstellungen von der Unternehmenseinheit, der der Benutzer zugeordnet ist, um Modellgesteuerte Apps auszuführen. In der Sicherheitsrolle Basic-Benutzer finden Sie heraus, wie diese Benutzereinstellungsrechte aktiviert werden.

Sie können einen Benutzer als Datensatzeigentümer in jeder Geschäftseinheit zuweisen, ohne ein Sicherheitsrolle in der Eigentümereinheit des Datensatzes zuweisen zu müssen, solange der Benutzer über ein Sicherheitsrolle mit Leseberechtigung für die Datensatztabelle verfügt. Weitere Informationen unter Rekordbeteiligung an modernisierten Geschäftseinheiten.

Notiz

Diese Funktionsoption ist in den Einstellungen EnableOwnershipAcrossBusinessUnits gespeichert und kann auch mit dem OrgDBOrgSettings-Tool für Microsoft Dynamics CRM festgelegt werden.

Eine Unternehmenseinheit mit einer Microsoft Entra Sicherheitsgruppe verbinden

Sie können eine Microsoft Entra Sicherheitsgruppe verwenden, um Ihre Unternehmenseinheit zuzuordnen, um Ihre Benutzerverwaltung und Rollenzuweisung zu optimieren.

Erstellen Sie eine Microsoft Entra Sicherheitsgruppe für jede Unternehmenseinheit und weisen Sie jedem Gruppenteam die entsprechende Unternehmenseinheits-Sicherheitsrolle zu.

Erstellen Sie für jede Unternehmenseinheit eine Microsoft Entra Sicherheitsgruppe.

Erstellen Sie für jede Unternehmenseinheit eine Microsoft Entra Sicherheitsgruppe. Erstellen Sie ein Dataverse Gruppenteam für jede Microsoft Entra Sicherheitsgruppe. Weisen Sie jedem Dataverse Gruppenteam die jeweilige Sicherheitsrolle aus der Unternehmenseinheit zu. Der Benutzer im obigen Diagramm wird in der Stammunternehmenseinheit erstellt, wenn der Benutzer auf die Umgebung zugreift. Der Benutzer und die Dataverse Gruppenteams können in der gleichen Stammunternehmenseinheit sein. Sie haben nur Zugriff auf Daten in der Unternehmenseinheit, der die Sicherheitsrolle zugewiesen ist.

Fügen Sie Benutzer der jeweiligen Microsoft Entra Sicherheitsgruppe hinzu, um ihnen Zugriff auf die Unternehmenseinheit zu gewähren. Die Benutzer können die App sofort ausführen und auf ihre Ressourcen/Daten zugreifen.

Fügen Sie im Zugriff auf Matrixdaten, wo Benutzer arbeiten und auf Daten aus mehreren Unternehmenseinheiten zugreifen können, die Benutzer den Microsoft Entra Sicherheitsgruppen hinzu, die diesen Unternehmenseinheiten zugeordnet sind.

Zuständige Unternehmenseinheit

Jeder Datensatz hat eine Spalte Zuständige Unternehmenseinheit, die festlegt, welcher Unternehmenseinheit der Datensatz gehört. Diese Spalte ist standardmäßig auf die Unternehmenseinheit des Benutzers voreingestellt, wenn der Datensatz erstellt wird, und kann nicht geändert werden, außer wenn die Funktion eingeschaltet ist.

Notiz

Wenn Sie ändern, welche Unternehmenseinheit Besitzer eines Datensatzes ist, überprüfen Sie Folgendes auf Kaskadeneffekte: Verwenden des SDK für .NET zum Konfigurieren des Kaskadierungsverhaltens.

Sie können festlegen, ob Sie Ihrem Benutzer erlauben möchten, die Spalte Besitzende Unternehmenseinheit festzulegen, wenn die Funktion eingeschaltet ist. Um die Spalte Besitzende Unternehmenseinheit festzulegen, müssen Sie der Sicherheitsrolle des Benutzers die Berechtigungen Anfügen an der Tabelle Unternehmenseinheit mit der Berechtigung auf lokaler Ebene erteilen.

Damit Ihr Benutzer diese Spalte festlegen kann, können Sie diese Spalte wie folgt aktivieren:

  1. Formular – sowohl der Hauptteil als auch die Kopfzeile.
  2. Ansicht.
  3. Spaltenzuordnungen. Wenn Sie AutoMapEntity verwenden, können Sie die Spalte in Ihrer Spaltenzuordnung angeben.

Notiz

Wenn Sie einen Auftrag/Prozess zum Synchronisieren von Daten zwischen Umgebungen haben und die Besitzenden Unternehmenseinheit ist als Teil des Schemas enthalten, schlägt Ihr Auftrag mit einer Foreign KEY-Einschränkungsverletzung fehl, wenn die Zielumgebung nicht den gleichen Besitzende Unternehmenseinheit-Wert hat.

Sie können entweder die Spalte Besitzende Unternehmenseinheit aus dem Quellschema entfernen, oder den Besitzende Unternehmenseinheit-Feldwert zu einer Quelle aller Unternehmenseinheiten des Ziels aktualisieren.

Wenn Sie einen Auftrag/Prozess zum Kopieren von Daten aus einer Umgebung in eine externe Ressource haben, z. B. PowerBI, müssen Sie die Spalte Besitzende Unternehmenseinheit aus Ihrer Quelle auswählen oder die Auswahl aufheben. Wählen Sie sie aus, wenn Ihre Ressource sie empfangen kann, andernfalls heben Sie die Auswahl auf.

Tabellen-/Datensatzbesitz

Dataverse unterstützt zwei Arten von Datensatzeigentum. Im Besitz der Organisation und im Besitz von Benutzern oder Teams. Dies ist eine Auswahl, die beim Erstellen der Tabelle getroffen wird und nicht geändert werden kann. Aus Sicherheitsgründen ist bei Datensätzen, die sich im Besitz der Organisation befinden, die einzige Auswahl der Zugriffsebene, ob der Benutzer den Vorgang ausführen kann oder nicht. Für Benutzer- und Teamdatensätze sind die Zugriffsebenenoptionen für die meisten Berechtigungen abgestufte Organisation, Geschäftseinheit, Geschäftseinheit und untergeordnete Geschäftseinheit oder nur die eigenen Datensätze des Benutzers. Das bedeutet, dass Sie für die Leseberechtigung für Kontakt benutzereigen festlegen können. Der Benutzer kann dann nur eigenen Datensätze anzeigen.

Ein weiteres Beispiel: Benutzer A ist dem Geschäftsbereich A zugeordnet, und wir erteilen ihm Lesezugriff auf Unternehmenseinheitsebene für Kontakt. Sie könnten Kontakt Nr. 1 und Nr. 2 sehen, aber nicht Kontakt Nr. 3.

Wenn Sie Sicherheitsrolle-Berechtigungen konfigurieren oder bearbeiten, legen Sie die Zugriffsebene für jede Option fest. Im Folgenden wird ein Beispiel für den Sicherheitsrollen-Rechteditor aufgeführt.

Sicherheitsrollen-Privilegien.

Oben sehen Sie die Standardberechtigungstypen für jede Tabelle Erstellen, Lesen, Schreiben, Löschen, Anhängen, Anhängen an, Zuweisen und Freigeben. Sie können jeden einzeln bearbeiten. Die visuelle Anzeige der einzelnen Elemente entspricht dem unten angegebenen Schlüssel für die von Ihnen gewährte Zugriffsebene.

Schlüssel für Sicherheitsrollenberechtigungen.

Im oben aufgeführten Beispiel haben wir Zugrifff auf Organisationsebene für den Kontakt erteilt, was bedeutet, dass der Benutzer in Geschäftsbereich A Kontakte anzeigen und aktualisieren kann, die im Besitz andere Benutzer sind. Einer der häufigsten Verwaltungsfehler ist es wahrscheinlich, von den Berechtigungen frustriert zu sein und zu viele Zugriffsrechte zu erteilen. Ein gut erstelltes SicherheitsModell sieht ganz schnell wie Schweizer Käse aus (voll mit Löchern).

Weitere Informationen unter Rekordbeteiligung an modernisierten Geschäftseinheiten

Unter Modernisierte Geschäftseinheiten können Sie Benutzer haben, die Eigentümer von Datensätzen in allen Geschäftsbereichen sind. Alles, was die Benutzer brauchen, ist ein Sicherheitsrolle (beliebige Geschäftseinheit), der über Leseberechtigung für die Datensatztabelle verfügt. Den Benutzern muss nicht in jeder Geschäftseinheit, in der sich der Datensatz befindet, ein Sicherheitsrolle zugewiesen werden.

Wenn Dokumentieren Sie die Eigentümerschaft über alle Geschäftsbereiche hinweg während des Vorschauzeitraums in Ihrer Produktionsumgebung aktiviert wurde, müssen Sie Folgendes tun, um diese Datensatzeigentümerschaft in der gesamten Geschäftseinheit zu aktivieren:

  1. Installieren vom Editor Organisationseinstellungen
  2. Stellen Sie die RecomputeOwnershipAcrossBusinessUnits Organisationseinstellungen auf true fest. Wenn diese Einstellung auf „true“ gesetzt ist, wird das System gesperrt und es kann bis zu 5 Minuten dauern, bis die Neuberechnung durchgeführt wird, um die Funktion zu aktivieren, bei der Benutzer jetzt Datensätze in allen Geschäftseinheiten besitzen können, ohne dass jeder Geschäftseinheit ein separates Sicherheitsrolle zugewiesen werden muss. Dies ermöglicht es einem Eigentümer eines Datensatzes, seinen Datensatz jemandem außerhalb der zuständigen Unternehmenseinheit des Datensatzes zuzuweisen.
  3. Legen Sie AlwaysMoveRecordToOwnerBusinessUnit = auf falsch fest. Dadurch verbleibt der Datensatz in der ursprünglich besitzenden Geschäftseinheit, wenn der Eigentümer des Datensatzes geändert wird.

Für alle Nicht-Produktionsumgebungen müssen Sie nur AlwaysMoveRecordToOwnerBusinessUnit auf false festlegen um diese Funktion zu verwenden.

Notiz

Wenn Sie entweder die Funktion Besitz über Unternehmenseinheiten hinweg aufzeichnen deaktivieren oder die Einstellung RecomputeOwnershipAcrossBusinessUnits mithilfe von OrgDBOrgSettings Tool für Microsoft Dynamics CRM auf False festlegen, können Sie das Feld Zuständige Geschäftseinheit nicht festlegen und aktualisieren. Alle Felder, bei denen sich die Datensätze im Feld zuständige Geschäftseinheit von der Unternehmenseinheit des Besitzers unterscheiden, werden in der Geschäftseinheit des Besitzers aktualisiert.

Teams (einschließlich Gruppenteams)

Teams sind ein anderer wichtiger Sicherheitsbaustein. Teams gehören einer Unternehmenseinheit. Jeder Konzernmandant hat ein Standardteam, das automatisch erstellt wird, wenn der Konzernmandant erstellt wird. Die Standardteammitglieder werden von Dataverse verwaltet und enthalten immer alle Benutzer, die diesem Konzernmandanten zugeordnet sind. Sie können keine Mitglieder manuell zum Standardteam hinzufügen oder daraus entfernen. Sie werden vom System dynamisch als neue Benutzer angepasst und werden mit Geschäftsbereichen verknüpft. Es gibt zwei Typen Teams: besitzende Teams und Zugriffsteams.

  • Besitzende Teams können Datensätze besitzen, mit denen jedes Teammitglied direkten Zugriff auf diesen Datensatz erhält. Benutzer können mehreren Teams angehören. Dies ermöglicht es, Benutzern auf breiter Basis Berechtigungen zu erteilen, ohne den Zugriff bis ins Kleinste auf den einzelnen Benutzerebenen zu verwalten.
  • Zugriffsteams werden im nächsten Abschnitt als Teil der gemeinsamen Nutzung von Datensätzen behandelt.

Freigeben von Datensätzen

Individuelle Datensätze können individuell an andere Benutzende freigegeben werden. Dies ist eine gute Methode, um Ausnahmen zu handhaben, die nicht in das Modell Datensatzbesitz oder Unternehmenseinheitszugriff fallen. Dies sollte jedoch eine Ausnahme darstellen, da es eine weniger leistungsfähige Methode zur Zugriffskontrolle ist. Die gemeinsame Verwendung ist schwieriger zu beheben, da es sich nicht um eine konsequent implementierte Zugriffssteuerung handelt. Die Freigabe kann auf der Benutzer- und auf Teamebene erfolgen. Die Freigabe für ein Team ist eine effizientere Art der Freigabe. Ein ausgereifteres Konzept der Freigabe sind Zugriffsteams, welche die automatische Erstellung eines Teams und die Freigabe des Datensatzzugriffs für das Team basierend auf einer Zugriffsteamvorlage (Vorlage von Berechtigungen) bieten, die angewendet wird. Zugriffsteams können auch ohne die Vorlagen verwendet werden, indem nur die Mitglieder manuell hinzugefügt oder entfernt werden. Zugriffsteams sind leistungsstärker, da sie nicht erlauben, dass Datensätze im Besitz vom Team sind oder dem Team Sicherheitsrollen zugewiesen werden. Benutzer erhalten Zugriff, da der Datensatz für das Team freigegeben wird und der Benutzer ein Mitglied ist.

Sicherheit auf Datensatzebene in Dataverse

Sie fragen sich möglicherweise, was den Zugriff auf einen Datensatz bestimmt? Das klingt nach einer einfachen Frage, aber für alle Benutzer ist es die Kombination aller ihrer Sicherheitsrollen, die Unternehmenseinheit, der sie zugeordnet sind, die Teams, deren Mitglieder sie sind, und die Datensätze, die für sie freigegeben werden. Die wichtigste Punkt ist, daran zu denken, dass der Zugriff über alle diese Konzepte im Kontext einer Dataverse-Datenbankumgebung kumulativ ist. Diese Berechtigungen werden nur innerhalb einer Einzeldatenbank gewährt und werden individuell in jeder Dataverse Datenback nachverfolgt. Die erfordert eine entsprechende Lizenz, um auf Dataverse zuzugreifen.

Sicherheit auf Spaltenebene in Dataverse

Die Zugriffssteuerung auf Datensatzebene ist mitunter für einige Geschäftsszenarien nicht angemessen. In Dataverse gibt es eine Sicherheitsfunktion auf Spaltenebene, um so die Sicherheit zu verbessern. Sicherheit auf Spaltenebene kann für alle benutzerdefinierten Spalten und die meisten Systemspalten aktiviert werden. Die meisten Systemspalten, die personenbezogene Daten (PII) enthalten, können einzeln gesichert werden. Die Metadaten jeder Spalte definieren, ob dies eine verfügbare Option für die Systemspalte ist.

Sicherheit auf Spaltenebene wird Spalte für Spalte aktiviert. Der Zugriff wird dann verwaltet, indem ein Spaltensicherheitsprofil erstellt wird. Das Profil enthält alle Spalten, für die Sicherheit auf Spaltenebene aktiviert ist, und den Zugriff, der von diesem bestimmten Profil gewährt wird. Jede Spalte kann innerhalb des Profils für Erstellen-, Aktualisieren- und Lesezugriff gesteuert werden. Spaltensicherheitsprofile werden dann einem Benutzer oder Teams zugeordnet, um diese Rechte Benutzern für Datensätze zu erteilen, auf die sie bereits Zugriff haben. Es ist wichtig zu beachten, dass die Sicherheit auf Spaltenebene nichts mit der Sicherheit auf Datensatzebene zu tun hat. Ein Benutzer muss bereits Zugriff auf den Datensatz für das Spaltensicherheitsprofil haben, um Zugriff auf die Spalten zu erhalten. Sicherheit auf Spaltenebene sollte nach Bedarf und nicht übermäßig verwendet werden, das sie Aufwand verursacht, der bei übermäßiger Verwendung negative Auswirkungen haben kann.

Verwalten der Sicherheit über mehrere Umgebungen

Sicherheitsrollen und Spaltensicherheitsprofile können in einem Paket zusammengefasst und von einer Umgebung in die nächste verschoben werden mithilfe von Dataverse-Lösungen. Unternehmenseinheiten und Teams müssen in jeder Umgebung zusammen mit der Zuweisung von Benutzern zu den erforderlichen Sicherheitskomponenten erstellt und verwaltet werden.

Sicherheit der Umgebung des Benutzers konfigurieren

Nachdem eine Organisation die erforderlichen Rollen, Teams und Unternehmenseinheiten definiert hat, ist es an der Zeit, den Benutzern ihre Sicherheitskonfigurationen zuzuweisen. Wenn Sie einen Benutzer erstellen, ordnen Sie den Benutzer zunächst einem Geschäftsbereich zu. Standardmäßig ist dies die Stammunternehmenseinheit in der Organisation. Sie werden auch dem Standardteam dieser Geschäftseinheit hinzugefügt.

Darüber hinaus weisen Sie alle Sicherheitsrollen zu, die ein Benutzer benötigt. Sie fügen ihn auch als Mitglied zu Teams hinzu. Denken Sie daran, dass Teams auch Sicherheitsrollen haben können, sodass die effektiven Rechte des Benutzers aus der Kombination der direkten Zuweisung von Sicherheitsrollen mit denen der Teams, denen sie angehören, bestehen. Sicherheit ist immer additiv und bietet die am wenigsten einschränkende Berechtigung aller Berechtigungen. Im Folgenden finden Sie eine gute exemplarische Vorgehensweise für das Konfigurieren von Umgebungssicherheit.

Wenn Sie Sicherheit auf Spaltenebene verwendet haben, müssen Sie den Benutzer oder ein Team des Benutzers einem der von Ihnen erstellten Spaltenwertpapierprofile zuordnen.

Sicherheit ist ein komplexer Artikel und wird am besten als gemeinsame Anstrengung zwischen den Anwendungsherstellern und dem Team durchgeführt, das die Benutzerberechtigungen verwaltet. Alle größeren Änderungen sollten gut koordiniert werden, bevor sie in die Umgebung bereitgestellt werden.

Siehe auch

Umgebungssicherheit konfigurieren
Sicherheitsrollen und Berechtigungen